Packet Tracer - 配置扩展 ACL - 场景 1

Packet Tracer - 配置扩展 ACL - 场景 1

拓扑图

地址分配表

目标

第 1 部分：配置、应用并验证扩展 编号 ACL

第 2 部分：配置、应用并验证扩展命名 ACL

背景/场景

两名员工需要访问 服务器提供的服务。PC1 只需要访问 FTP，而 PC2 只需要访问 Web。这两台计算机都能够对服务器执行 ping 操作，但不能互相执行 ping 操作。

第 1 部分：    配置、应用并验证扩展编号 ACL

步骤 1：     配置 ACL 以允许 FTP 和 ICMP。

a.     在 R1 的全局配置模式下，输入以下命令 来确定扩展访问列表的首个有效编号。

R1(config)# access-list ?

<1-99> 标准 IP 访问列表

<100-199> 扩展 IP 访问列表

b.     将 100 添加到命令，后跟问号。

R1(config)# access-list 100 ?

deny 指定要拒绝的数据包

permit 指定要转发的数据包

remark 访问列表条目注释

c.     要允许 FTP 流量，请输入 permit，后跟问号。

R1(config)# access-list 100 permit ?

ahp 认证报头协议

eigrp 思科 EIGRP 路由协议

esp 封装安全负载

gre 思科 GRE 隧道

icmp Internet 控制消息协议

ip 任意 Internet 协议

ospf OSPF 路由协议

tcp 传输控制协议

udp 用户数据报协议

d.     此 ACL 允许 FTP 和 ICMP 访问。上面列出了 ICMP，但没有列出 FTP， 因为 FTP 使用的是 TCP。因此，输入 tcp 可进一步细化 ACL 帮助。

R1(config)# access-list 100 permit tcp ?

A.B.C.D 源地址

any 任意源主机

host 单个源主机

e.     请注意，我们可以通过使用 host 关键字 仅筛选 PC1，也可以允许 any 主机。在这种情况下，地址属于 172.22.34.64/27 网络的任何设备 均获准访问。输入网络 地址，后跟一个问号。

R1(config)# access-list 100 permit tcp 172.22.34.64 ?

A.B.C.D 源通配符位

f.      计算子网 掩码对应的通配符掩码。

11111111.11111111.11111111.11100000 = 255.255.255.224

00000000.00000000.00000000.00011111 = 0.0.0.31

g.     输入通配符掩码，后跟问号。

R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 ?

A.B.C.D 目的地址

any 任意目的主机

eq 仅匹配给定端口号上的数据包

gt 仅匹配具有较大端口号的数据包

host 单个目的主机

lt 仅匹配具有较小端口号的数据包

neq 仅匹配非给定端口号上的数据包

range 仅匹配端口号范围内的数据包

h.     配置目的地址。在这个场景中，我们要为单个目的地，也就是为服务器过滤 流量。输入 host 关键字 ，后跟服务器的 IP 地址。

R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 host 172.22.34.62 ?

dscp 匹配具有给定 dscp 值的数据包

eq 仅匹配给定端口号上的数据包

established  已建立

gt 仅匹配有更大端口号的数据包

lt 仅匹配有更小端口号的数据包

neq 仅匹配不具有给定端口号的数据包

precedence 匹配具有给定优先级值的数据包

range 仅匹配端口号范围内的数据包

i.      注意，一种选择是 （回车）。 换句话说，您可以按 Enter 键，该语句将允许所有 TCP 流量。但是，我们希望只允许 FTP 流量；因此，输入 eq 关键字，后跟一个问号来显示可用选项。然后， 输入ftp 并按 Enter 键。

R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 host 172.22.34.62 eq ?

<0-65535> 端口号

ftp 文件传输协议 (21)

pop3 邮局协议 v3 (110)

smtp 简单邮件传输协议 (25)

telnet Telnet (23)

www 万维网（HTTP，80）

R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 host 172.22.34.62 eq ftp

j.      创建第二个访问列表语句，以允许从 PC1 至服务器的 ICMP（ping 等） 流量。请注意，访问列表编号 保持不变，不需要 指定特定类型的 ICMP 流量。

R1(config)# access-list 100 permit icmp 172.22.34.64 0.0.0.31 host 172.22.34.62

k.     默认情况下，所有其他流量都被拒绝。

步骤 2：     将 ACL 应用到正确的接口以过滤流量。

从 R1 角度来看，ACL 100 适用的流量从连接至千兆以太网 0/0 接口的网络入站。进入接口配置模式并应用 ACL。

R1(config)# interface gigabitEthernet 0/0

R1(config-if)# ip access-group 100 in

步骤 3：     检验 ACL 实施。

a.     从 PC1 对服务器执行 ping 操作。如果执行 ping 操作不成功，请在继续之前验证 IP 地址。

b.     从 PC1 对服务器进行 FTP 访问。用户名和密码均为 cisco。

PC> ftp 172.22.34.62

c.     退出服务器的 FTP 服务。

ftp> quit

d.     从 PC1 对 PC2 执行 ping 操作。 因流量未明确获得允许，因此应该无法访问目的主机。

第 2 部分：    配置、应用并验证扩展命名 ACL

步骤 1：     配置 ACL 以允许 HTTP 访问和 ICMP。

a.     命名 ACL 以 ip 关键字开头。在 R1 的全局配置 模式下，输入以下命令，后跟一个问号。

R1(config)# ip access-list ?

extended 扩展访问列表

standard 标准访问列表

b.     您可以配置命名标准 ACL 和扩展 ACL。该访问列表会同时过滤 源 IP 地址和目的 IP 地址，因此必须对其进行扩展。输入 HTTP_ONLY 作为名称。（用于 Packet Tracer 得分时，名称 区分大小写。）

R1(config)# ip access-list extended HTTP_ONLY

c.     提示符更改。您现在已处于扩展命名 ACL 配置模式中。 PC2 LAN 上的所有设备都需要 TCP 访问。输入网络地址， 后跟一个问号。

R1(config-ext-nacl)# permit tcp 172.22.34.96 ?

A.B.C.D 源通配符位

d.     计算通配符的另一种方法是从 255.255.255.255 中减去子网 掩码。

255.255.255.255

- 255.255.255.240

-----------------

=   0.   0.   0. 15

R1(config-ext-nacl)# permit tcp 172.22.34.96 0.0.0.15 ?

e.     按照在第 1 部分中的做法，通过指定服务器地址和过滤 www 流量来完成语句。

R1(config-ext-nacl)# permit tcp 172.22.34.96 0.0.0.15 host 172.22.34.62 eq www

f.      创建第二个访问列表语句，以允许从 PC2 至服务器的 ICMP（ping 等） 流量。注意：提示符保持不变，且 无需指定特定类型的 ICMP 流量。

R1(config-ext-nacl)# permit icmp 172.22.34.96 0.0.0.15 host 172.22.34.62

g.     默认情况下，所有其他流量都被拒绝。退出扩展命名 ACL 配置模式。

步骤 2：     将 ACL 应用到正确的接口以过滤流量。

从 R1 角度来看，访问 列表 HTTP_ONLY 适用的流量从连接至千兆 以太网 0/1 接口的网络入站。进入接口配置模式并应用 ACL。

R1(config)# interface gigabitEthernet 0/1

R1(config-if)# ip access-group HTTP_ONLY in

步骤 3：     检验 ACL 实施。

1.      从 PC2 对服务器执行 ping 操作。Ping 操作应成功，如果执行 ping 操作不成功，请在继续之前验证 IP 地址。

1.      从 PC2 对服务器进行 FTP 访问。应该无法成功连接。

c.     在 PC2 上打开 Web 浏览器，输入服务器 的 IP 地址作为 URL。连接应该会成功。

实验具体步骤：

R1：

R1>enable

R1#conf t

Enter configuration commands, one per line. End with CNTL/Z.

R1(config)# access-list 100 permit tcp 172.22.34.64 0.0.0.31 host 172.22.34.62 eq ftp

R1(config)#access-list 100 permit icmp 172.22.34.64 0.0.0.31 host 172.22.34.62

R1(config)#interface g0/0

R1(config-if)#ip access-group 100 in

R1(config-if)#exit

R1(config)#ip access-list extended HTTP_ONLY

R1(config-ext-nacl)#permit tcp 172.22.34.96 0.0.0.15 host 172.22.34.62 eq www

R1(config-ext-nacl)#permit icmp 172.22.34.96 0.0.0.15 host 172.22.34.62

R1(config-ext-nacl)#exit

R1(config)#interface g0/1

R1(config-if)#ip access-group HTTP_ONLY in

R1(config-if)#end

R1#

%SYS-5-CONFIG_I: Configured from console by console



R1#wr

R1#write

Building configuration...

[OK]

实验链接：https://pan.baidu.com/s/19gm0SgSG_QyEtlgBX_n-2Q?pwd=4110

提取码：4110

--来自百度网盘超级会员V2的分享